国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      主動防御方法及裝置的制造方法

      文檔序號:8490019閱讀:383來源:國知局
      主動防御方法及裝置的制造方法
      【技術(shù)領(lǐng)域】
      [0001]本發(fā)明涉及計算機安全技術(shù)領(lǐng)域,特別是涉及主動防御方法及裝置。
      【背景技術(shù)】
      [0002]惡意程序是一個概括性的術(shù)語,指任何故意創(chuàng)建用來執(zhí)行未經(jīng)授權(quán)并通常是有害行為的軟件程序。計算機病毒、后門程序、鍵盤記錄器、密碼盜取者、Word和Excel宏病毒、引導(dǎo)區(qū)病毒、腳本病毒(batch, windows shell, java等)、木馬、犯罪軟件、間課軟件和廣告軟件等等,都是一些可以稱之為惡意程序的例子。
      [0003]傳統(tǒng)的惡意程序防殺主要依賴于特征庫模式。特征庫是由廠商收集到的惡意程序樣本的特征碼組成,而特征碼則是分析工程師從惡意程序中找到和正當(dāng)軟件的不同之處,截取一段類似于“搜索關(guān)鍵詞”的程序代碼。當(dāng)查殺過程中,引擎會讀取文件并與特征庫中的所有特征碼“關(guān)鍵詞”進行匹配,如果發(fā)現(xiàn)文件程序代碼被命中,就可以判定該文件程序為惡意程序。
      [0004]特征庫匹配是查殺已知惡意程序很有效的一項技術(shù)。但是現(xiàn)今全球惡意程序數(shù)量呈幾何級增長,基于這種爆發(fā)式的增速,特征庫的生成與更新往往是滯后的,很多時候殺毒軟件無法防殺層出不窮的未知惡意程序。
      [0005]HIPS (Host-based Intrus1n Prevent1n System,基于主機的入侵防御系統(tǒng))是一種通過攔截系統(tǒng)內(nèi)的常見危險動作,不以特征碼作為判斷惡意程序的依據(jù),而是從最原始的定義出發(fā),直接將程序的行為作為判斷惡意程序的依據(jù),其中衍生出在本地使用特征庫、在本地設(shè)置行為閾值以及在本地啟發(fā)式殺毒的方式來判別、攔截惡意程序的行為,從而一定程度上達(dá)到保護用戶電腦的目的。借助自己對軟件及系統(tǒng)的了解,人為的或者軟件內(nèi)置的一些觸發(fā)條件制+止一些不正常的動作,以達(dá)到系統(tǒng)安全的一個軟件系統(tǒng),這種觸發(fā)條件一般稱為HIPS規(guī)則。
      [0006]然而,在現(xiàn)有技術(shù)中使用HIPS規(guī)則進行主動防御時,經(jīng)常出現(xiàn)誤報的現(xiàn)象。因此,迫切需要本領(lǐng)域技術(shù)人員解決的技術(shù)問題就在于,如何在使用HIPS規(guī)則進行主動防御時,降低誤報的概率。

      【發(fā)明內(nèi)容】

      [0007]本發(fā)明提供了主動防御方法及裝置,能夠降低誤判的概率。
      [0008]本發(fā)明提供了如下方案:
      [0009]本發(fā)明實施例提供一種主動防御方法,包括:
      [0010]對預(yù)置接口產(chǎn)生的遠(yuǎn)程過程調(diào)用協(xié)議RPC調(diào)用進行跟蹤;
      [0011]當(dāng)用戶權(quán)限的進程通過預(yù)置接口發(fā)起調(diào)用系統(tǒng)服務(wù)進程的請求時,攔截所述請求,從所述請求中提取源文件的路徑,并建立所述源文件的路徑與被調(diào)用的系統(tǒng)服務(wù)進程之間的關(guān)聯(lián);
      [0012]如果有操作行為觸發(fā)基于主機的入侵防御系統(tǒng)HIPS規(guī)則、并根據(jù)進程鏈追溯到發(fā)起所述操作行為的進程是被調(diào)用的系統(tǒng)服務(wù)進程,則將所述源文件的路徑確定為所述操作行為的來源;
      [0013]根據(jù)所述源文件的危險等級,執(zhí)行主機入侵防御處理。
      [0014]可選地,所述源文件包括MSI安裝包文件,所述對預(yù)置接口的RPC調(diào)用進行跟蹤包括:
      [0015]對接口 MSIServer::DoInstal IRemote的RPC調(diào)用進行跟蹤,以便獲取所述MSI安裝包文件在系統(tǒng)中的保存路徑。
      [0016]可選地,所述源文件包括MSI安裝包文件中的動態(tài)鏈接庫DLL文件,所述對預(yù)置接口的RPC調(diào)用進行跟蹤包括:
      [0017]對接口CMsiCustomAct1n::PrepareDLLCustomAct1n 的 RPC 調(diào)用進行跟蹤,以便獲取所述MSI安裝包文件中的DLL文件的DLL路徑。
      [0018]可選地,所述根據(jù)所述源文件的危險等級,執(zhí)行主機入侵防御處理包括:
      [0019]確定源文件的危險等級;
      [0020]根據(jù)所述源文件的危險等級,對所述操作行為執(zhí)行攔截。
      [0021]可選地,所述根據(jù)所述源文件的危險等級,執(zhí)行主機入侵防御處理包括:
      [0022]根據(jù)所述源文件的危險等級,向用戶進行風(fēng)險提示,并將所述源文件的信息提示給用戶。
      [0023]本發(fā)明實施例提供一種主動防御裝置,包括:
      [0024]跟蹤單元,用于對預(yù)置接口產(chǎn)生的遠(yuǎn)程過程調(diào)用協(xié)議RPC調(diào)用進行跟蹤;
      [0025]攔截單元,用于當(dāng)當(dāng)用戶權(quán)限的進程通過預(yù)置接口發(fā)起調(diào)用系統(tǒng)服務(wù)進程的請求時,攔截所述請求,從所述請求中提取源文件的路徑,并建立所述源文件的路徑與被調(diào)用的系統(tǒng)服務(wù)進程之間的關(guān)聯(lián);
      [0026]來源確定單元,用于如果有操作行為觸發(fā)基于主機的入侵防御系統(tǒng)HIPS規(guī)則、并根據(jù)進程鏈追溯到所述被調(diào)用的系統(tǒng)服務(wù)進程,則將所述源文件的路徑確定為所述操作行為的來源;
      [0027]處理單元,用于根據(jù)所述源文件的危險等級,執(zhí)行主機入侵防御處理。
      [0028]可選地,所述源文件包括MSI安裝包文件,所述跟蹤單元包括:
      [0029]第一跟蹤子單元,用于對接口 IMSIServer: =DoInstallRemote的RPC調(diào)用進行跟蹤,以便獲取所述MSI安裝包文件在系統(tǒng)中的保存路徑。
      [0030]可選地,所述源文件包括MSI安裝包文件中的動態(tài)鏈接庫DLL文件,所述跟蹤單元包括:
      [0031]第二跟蹤子單元,用于對接口CMsiCustomAct1n::PrepareDLLCustomAct1n 的RPC調(diào)用進行跟蹤,以便獲取所述MSI安裝包文件中的DLL文件的DLL路徑。
      [0032]可選地,所述處理單元包括:
      [0033]操作攔截子單元,用于根據(jù)所述源文件的危險等級,對所述操作行為執(zhí)行攔截。
      [0034]可選地,所述處理單元包括:
      [0035]風(fēng)險提示子單元,用于根據(jù)所述源文件的危險等級,向用戶進行風(fēng)險提示,并將所述源文件的信息提示給用戶。
      [0036]根據(jù)本發(fā)明提供的具體實施例,本發(fā)明公開了以下技術(shù)效果:
      [0037]通過本發(fā)明,針對用戶啟動運行某文件之后,會通過用戶權(quán)限下的一個進程轉(zhuǎn)移到系統(tǒng)服務(wù)權(quán)限下的另一個進程中去執(zhí)行,導(dǎo)致進程鏈斷鏈的情況,能夠?qū)⒔⒃次募c被調(diào)用的系統(tǒng)服務(wù)權(quán)限進程之間的關(guān)聯(lián),從而在某操作行為觸發(fā)HIPS規(guī)則時,能夠追溯到操作行為的真正來源,進而通過對真正來源處的文件進行危險等級的判斷,來確定是否需要進行攔截或者彈出提示,這樣可以降低誤判的概率。
      【附圖說明】
      [0038]為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實施例中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實施例,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲得其他的附圖。
      [0039]圖1是HIPS系統(tǒng)示意圖;
      [0040]圖2是本發(fā)明實施例提供的方法的流程圖;
      [0041]圖3是本發(fā)明實施例提供的裝置的示意圖;
      [0042]圖4是本發(fā)明實施例提供的系統(tǒng)的示意圖;
      [0043]圖5是本發(fā)明實施例提供的另一系統(tǒng)的示意圖。
      【具體實施方式】
      [0044]下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術(shù)方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本發(fā)明一部分實施例,而不是全部的實施例?;诒景l(fā)明中的實施例,本領(lǐng)域普通技術(shù)人員所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍。
      [0045]為了便于理解本發(fā)明,首先對HIPS的相關(guān)內(nèi)容進行簡單的介紹。參見圖1,最常見的HIPS是“3D”類的借助規(guī)則攔截程序動作的軟件。所謂的3D包括AD (Applicat1nDefend,應(yīng)用程序防御體系)、RD (Registry Defend,注冊表防御體系)、FD (File Defend,文件防御體系),這三個HIPS進行防御所采用的最直觀的動作,通過攔截這些直觀的動作的來起到保護系統(tǒng)的安全。其中,AD的作用是監(jiān)控程序運行、加載、訪問物理內(nèi)存、操作底層磁盤、鍵盤記錄等等的關(guān)鍵操作;FD的作用就是監(jiān)控系統(tǒng)對任何文件的讀取、修改、創(chuàng)建、刪除操作;RD的作用是監(jiān)控對注冊表的操作。
      [0046]例如:假設(shè)有病毒入侵電腦,則:
      [0047]病毒首先會在硬盤上建立病毒實體,這時候就會觸發(fā)FD的“創(chuàng)建”規(guī)則;
      [0048]接著讀取病毒體,會觸發(fā)FD的“讀取”規(guī)則;
      [0049]再接著運行病毒體,會觸發(fā)AD的各項規(guī)則;
      [0050]如果是感染型病毒,在運行過程中還會修改硬盤的文件,例如感染exe文件,此時,會觸發(fā)FD的“修改”規(guī)則;如果是破壞型病毒,運行過程中還會
      當(dāng)前第1頁1 2 3 4 
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1